是否可以将 CA 证书的使用限制为特定用户/主体/组?
用例是我想要 2 个 CA 证书。其中一个将用作自动化系统的一部分来签署用户密钥。如果此证书被泄露,我想确保它不能被用来允许某人登录管理员帐户。
另一个 CA 证书显然会更安全地存储(气隙等)并用于管理员帐户。
答案1
根据 Ulrich Schwarz 的评论:
如果我将普通用户添加到endusers组中,那么我可以像这样设置 sshd_config:
TrustedUserCAKeys /etc/ssh/admin_ca.pub
Match Group endusers
TrustedUserCAKeys /etc/ssh/user_ca.pub
这导致 user_ca 仅被endusers组中的用户接受,而 admin_ca 可用于任何用户。